Хакер #305. Многошаговые SQL-инъекции
Издание The Record сообщает, что смартфоны немецкого производителя Gigaset получили вредоносные обновления, так как неизвестные злоумышленники скомпрометировали сервер обновлений. Нужно сказать, что в начале 2000-х годов эта немецкая компания работала под брендами Siemens Mobile и BenQ-Siemens и была одним из крупнейших производителей мобильных телефонов.
Производитель уже подтвердил факт взлома в беседе с журналистами Heise и BornCity. Gigaset заявила, что проблема в основном затронула старые устройства, которые получили вредоносные обновления прошивки. Более новые модели не пострадали, то есть взлом не коснулся: GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 и GS4.
Специалисты Malwarebytes говорят, что атаке подверглись следующий модели смартфонов:
- Gigaset GS270; Android 8.1.0;
- Gigaset GS160; Android 8.1.0;
- Siemens GS270; Android 8.1.0;
- Siemens GS160; Android 8.1.0;
- Alps P40pro; Android 9.0;
- Alps S20pro+; Android 10.0.
По информации немецких блоггеров, пользователей Twitter и форумов поддержки Google, взлом произошел в прошлую пятницу, 2 апреля 2021 года. Именно тогда пользователи начали сообщать об установке странных приложений, которые быстро разряжали батареи устройств и открывали в браузере сайты с азартными играми и рекламой.
Также устройства пострадавших могли рассылать нежелательные SMS и спам в WhatsApp, из-за чего учетные записи WhatsApp некоторых пользователей заблокировали за подозрительную активность. Некоторые жертвы и вовсе сообщают, что лишились контроля над всеми своими аккаунтами в Facebook.
Auf dem Smartphone meiner Mutter ist eine Malware-App, die sich irgendwie versteckt und nicht deinstallieren lässt (wir haben schon unzählige Apps deinstalliert): ständig öffnet sich der Chrome-Browser von selbst und öffnet solche Werbungs-Websites: 1/x pic.twitter.com/ABKtR4vnrx
— Das Menschy, ??⛵ (@das_Menschy) April 3, 2021
Журналисты рассказывают, что на смартфоны жертвы были установлены следующие приложения:
• com.yhn4621.ujm0317
• com.yileiya.ayase (Tayase)
• com.wagd.xiaoan (xiaoan)
• com.wagd.smarter (smart)
• com.dolphinstudio.hook
• com.dolphinstudio.taiko
• com.relax.rain
• BBQ Browser
• easenf
У многих пользователей возникли трудности с удалением этих приложений, так как те снова появлялись на устройствах.
Согласно заявлению Gigaset, инцидент затронул не всех пользователей, а лишь тех, кто получил обновления прошивки с одного конкретного сервера. Компания заверяет, что в настоящее время работает «над краткосрочным решением для пострадавших», а также расследует случившееся совместно с ИБ-экспертами и правоохранительными органами.